危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982207

感受DarkComeRAT的与众不同

灰鸽子木马之所以在国内有那么大的影响力,主要原因就是其集常见的控制命令于一身。可是灰鸽子木马已经退出、江湖很多年了,要想寻找一款同样拥有众多控制命令的木马,就只有到外面的世界去好好的寻找一番。这不最近我就寻找到一款名为的DarkCometRAT木马,它的控制功能相对于灰鸽子,可以算是“有过之而无不及”。

一、配置服务端程序

首先解压运行文件夹中的客户端程序,点击窗口下方的“Edit Server”,在弹出的窗口就可以进行服务端的配置操作,与此同时我们也可以从中感受到该木马功能的强大。由于我们是第一次使用这个木马,所以一点击左侧窗口中的“Edit Server Session”选项,并不会看到可以使用的东西。不过当我们配置完成服务端程序后,就可以对配置选项进行保存,这样以后就可以直接调用配置选项呢。接着点击左侧窗口中的“Main Settings”选项,在右侧窗口里面可以设置互斥选项、服务端ID、连接密码等信息,不过我认为这里按照默认设置就可以了。

接着点击左侧窗口中的“Connection Settings”选项,在右侧窗口中的“IP Address”和“Port”选项中,分别设置服务端程序的连接地址和连接端口。设置完成以后点击“Add this range in the ip/port list”按钮,就可以将地址信息添加到连接列表里面。现在点击左侧列表中的“Server Startup”选项,在右侧窗口的“Installation Path”中,设置服务端程序的存放目录,并且在后面设置服务端程序的文件名。如果需要修改服务端程序的时间属性,在选择“Change File Date”选项后在“New File Date”选项中设置即可。接下来选择“Enable Server Startup”选项后,点击“Other Startup”按钮就可以设置服务端的启动项,DarkCometRAT木马为用户提供了三种不同的启动方式。

为了更好的对服务端程序进行隐藏,可以点击左侧列表中的“Server Shield”选项,在右侧窗口中根据自己的需要来进行设置。比如用户可以设置文件的隐藏、系统、只读等属性,也可以隐藏服务端程序的进程和连接端口。除此以外,还可以破坏一些系统属性和安全设置,包括隐藏任务管理器、隐藏注册表编辑器、改变系统防火墙等等。如果用户想让服务端程序运行的时候弹出一个伪装的提示窗口,可以点击左侧列表中的“Fake MessageBox”选项,然后在右侧窗口里面设置警示图标、警示标题、警示内容等。另外选择左侧列表中的“Offline Keylogger”选项,在右侧窗口里面选中“Active Offline keylogger at server startup”选项,这样就可以进行键盘记录的离线操作了。而且用户还可以设置一个FTP,这样木马可以定时把离线记录发到FTP里面。

DarkCometRAT木马除了众多的隐藏功能,还可以对虚拟机系统进行反侦查的操作。点击左侧列表中的“Anti VirtualBox”选项,在右侧窗口里面就可以激活相关的功能,可惜的是该木马只可以对一款虚拟机软件进行反侦查。为了更好的伪装服务端程序,点击左侧列表中的“Icon Settings”,然后在右侧窗口里面设置相应的程序图标。可惜的是木马只支持图标文件的格式,不支持从其他文件中提取图标文件。最后点击左侧列表中的“Generate Server”选项,在右侧窗口里面的“File Extention”列表中,根据自己的需要设置服务端程序的后缀名,这里可以选择常见的EXE、BAT、COM、SCR等格式。还可以根据自己的需要在“Finalization”中进行选择,再选择“IAccept the DarkComet-RAT EULA”选项,并点击“Create Server”按钮就可以生成一个服务端程序。

二、远程服务端控制

现在将刚刚配置生成的服务端程序,上传到系统中的虚拟机软件中进行运行。接着点击菜单栏中的“Listen”命令,在弹出的窗口中点击“Listen”命令就开始监听,结果很快就看见服务端程序连接成功。从上线列表中可以看到服务端的ID、IP地址和端口信息、以及远程系统和用户名称。现在在服务端信息上进行双击,在弹出的窗口就可以进行控制操作。由于DarkCometRAT木马的功能实在是太多了,所以就选择一些常见和有意思的功能来讲解。

1、特色功能

首先选择窗口列表中的“System Info”,这时在右侧窗口里面将出现四个和系统相关的功能标签。选择“System Monitor”标签以后点击“Active RAM/CPU Monitor”选项,这样就可以实时监控远程系统的资源占用情况,而且DarkCometRAT木马还通过五种不同的图表方式来进行显示,用户可以根据自己的喜好进行选择。

接着点击右侧窗口中的“Trace Map”标签,这时可以调用谷歌地球来对远程系统进行定位,只可惜操作界面比较小无法更好的对谷歌地球进行查看。接下来点击窗口列表中的“Fun

Functrons”,其中包括三个和恶作剧相关的功能标签,通过它可以隐藏系统的相关功能、发射音频信息和文字消息窗口。

现在点击窗口列表中的“Remote Scripting”,通过它可以在远程系统执行大量的脚本代码,其中可以让用户编写Html、批处理和VBS三种不同的代码。用户只需要在右侧窗口选择要编写代码的标签,接着在标签窗口里面写入相关的代码信息后,点击按钮就可以在远程系统里面进行执行操作。

2、系统控制

现在点击窗口列表中的“System Functions”,在右侧窗口会出现五个非常常见的控制命令,分割是Process Manager、Remote Registry、Windows List、Uninstall Applications和System Privileges。首先在Process Manager标签中点击鼠标右键,选择菜单中的List Process和List Selected Modules命令,这样就可以显示出系统中最新的进程信息。而且木马会使用不同的颜色,来对不同的进程信息进行标注。选择不需要的系统进程后,点击Kill Process命令就可以结束它。

接着选择窗口中的“Remote Registry”标签,透过它可以对远程系统的注册表进行管理。不但可。以创建新的项目和键值,而且可以修改和删除已经有的键值。再点击窗口中的“Windows List”标签,通过它可以查看远程系统中的窗口情况,而且包括那些被隐藏的窗口信息内容。通过右键菜单中的命令,不但可以进行窗口的最大化、最小化、隐藏等操作,还可以进行发送文字信息到窗口、窗口名称重命名等操作。

3、启动管理

接着点击窗口列表中的“Remote MSConfig”,在右侧窗口里面可以对系统的服务和启动项进行管理。点击右侧窗口中的“Services Startup”标签,在列表中点击鼠标右键中的“List Services”命令,用户就可以获得远程系统中最新的服务信息。通过右键菜单中的其他命令可以对,这些服务项进行开始、停止、暂停等操作。如果要创建一个全新的系统服务,需要在弹出的窗口分别输入服务名称、文件路径等信息。

现在点击窗口中的“Registry Startup”标签,在列表中点击鼠标右键中的“Refresh Startup”命令,用户就可以获得远程系统中最新的启动信息。同样通过右键菜单中的命令,可以删除已有的启动项信息,也可以创建全新的启动项信息。

4、文件管理

现在点击窗口列表中的“Files Functions,在弹出的窗口就可以对远程系统的文件进行管理。

DarkCometRAT的文件管理采用了TC的双窗口文件管理方式,这样文件管理操作起来就更加的方便易行。管理器左侧是本地计算机目录,而右侧是远程计算机目录,用户通过双击就可以进入磁盘里面。通过窗口两侧的按钮和右键菜单中的命令,就可以完成对磁盘文件进行管理操作。任意的选择几个文件或文件夹,然后点击右键菜单中的下载命令,在“Downloads”标签中就可以看到文件的传输进度。

DarkCometRAT的文件下载速度也是非常的快速,并且在下载的过程中可以任意的进行暂停,需要的时候再重新进行文件的继续传输。除此以外,木马还可以进行复制、粘贴、删除等命令,还可以设置文件的属性信息和运行方式等。如果用户选择的是图片文件的话,点击右键菜单中的“Get thumbnail”命令,这样在窗口的“Thumbnails”标签中就可以看到图片的预览信息。另外通过右键菜单中的“shortcut selected to desktop”命令,可以将指定的图片设置成为系统的桌面壁纸。

5、远程控制

接下来点击窗口列表中的“Spy Functions”,通过其中的四项子命令可以分别对,远程摄像头、音频系统、远程桌面和键盘输入进行监控。通过“Webcam Capture”命令,可以通过远程远程系统中的摄像头对图形进行捕捉。用户首先需要在设备列表中选择要监控的设备,接着点击窗口中的“Start Capture”命令,就可以对远程的图像内容进行捕捉操作。而且用户还可以将捕捉的内容保存到硬盘里面。通过“Sound Capture”命令还可以对远程计算机的音频进行捕捉,点击“start capture”按钮就可以开始捕捉,而点击“REC”按钮就可以将捕捉的内容保存下来。

接下来点击“Remote Desktop”命令,我们就可以对远程系统的桌面进行查看,点击“Start Remote Capture”命令就可以开始捕捉屏幕,如果点击了工具栏中的第八个命令,木马就会将捕捉的屏幕保存为图片。再选择工具栏中第四个按钮中的命令,可以通过捕捉的屏幕对远

程系统进行鼠标的控制,就好像在自己的电脑桌面上操作一样方便。除此以外,通过其他的命令可以设置捕捉屏幕的大小,以及保存图片的品质等内容。而“Keylogger”命令就是木马常见的键盘记录器,用它我们就可以获得远程用户的键盘记录情况。通过工具栏中的第三个按钮,可以在线激活远程系统的键盘记录,而通过第四个按钮则可以查看离线记录的键盘信息。

6、其他功能

除了上面介绍的这些功能以外,DarkCometRAT还包括其他的木马,很少涉及的一些远程控制功能。比如点击窗口列表中的“Network Functions”,在右侧窗口里面就可以看到很多和网络有关的命令。当我们点击“Active Ports”标签以后,在列表中点击右键菜单中的“Refresh Ports”命令,就可以获得远程系统最新的网络连接情况。我们知道现在很多安全软件都有云查杀的功能,当我们发现它们的网络连接以后单击右键中的“Kill process ID”命令,就可以将相关的软件进程进行结果。有的时候我们会对某个电脑进行端口扫描,这时我们就可以用到“IP Scanner”这个命令。点击该功能标签以后,在窗口下方的“IP/Host”里面输入要扫描的域名或IP地址,接着在“Port range”设置扫描端口的相关范围,最后点击“Scan IP”按钮就可以利用肉鸡进行扫描呢。

接下来继续点击窗口列表中的“Misc Functions”,通过它可以对远程的打印机和剪贴板进行

操作。首先点击右侧窗口中的“Print Manager”标签,在窗口里面输入需要打印的文本信息后,点击“Print this text”按钮就可以通过远程打印机进行打印:如果选择了窗口中的“Clipboard”标签,在列表中点击右键菜单中的“Refresh Clipboard”命令,就可以获得远程系统最新的剪贴板信息。这个木马不仅可以显示出最近多个剪贴板信息,而且可以显示出每条剪贴板信息的具体内容和字节数。通过右键菜单中的命令,我们还可以对剪贴板中的信息进行修改,甚至直接清除远程系统剪贴板中的内容。

三、总结

到此为止,DarkCometRAT木马的主要功能就介绍完了。通过测试我们可以看到,该木马不但包括了一些常见的功能,而且其中还包括了很多以前不曾见到的功能,由此可见老外的创新能力的却是非同一般。而且该木马的运行非常稳定,因此以后进行远程控制的时候,我们就有了一种全新的选择。


相关推荐